Soy nuevo en Seguridad de aplicaciones web. Estoy desarrollando una aplicación en Cakephp y uno de mis amigos me contó sobre la falsificación de solicitudes entre sitios (CSRF) y los ataques de secuencias de comandos entre sitios (XSS), etc. No estoy seguro de cuántos más hay.Cakephp Security
Necesito ayuda para entender cómo hacer que Cakephp defienda mi aplicación web de estas. tenemos un presupuesto bajo y no podemos contratar un consulante de seguridad a partir de ahora. Todavía estamos desarrollando la aplicación y planeamos lanzarla antes de fin de mes. así que quiero ocuparme de las cosas iniciales que pueden ayudarme a no hackear;)
gracias a un curso intensivo sobre la seguridad. una pregunta al usar HTML Helpers no - htmlspecialchars() y mysql_real_escape_string() ocurren automáticamente? –
Al usar ayudantes de HTML, 'htmlspecialchars()' se realiza de forma predeterminada, sí, a menos que configure ''escape' => false'. 'mysql_real_escape_string()' no lo es, ya que no tiene sentido ser SQL-escaping de salida de HTML. Eso debe suceder al hablar con la base de datos (y se realizará automáticamente si está utilizando el ORM). 'htmlspecialchars()' es necesario cuando está produciendo contenido sin un ayudante, como el contenido en línea sin forma. p.ej. '
Hola, Php echo htmlspecialchars ($ nombre); ?>!
'. – bobince"es muy desafortunado que el tutorial de CakePHP incluya la mala práctica de hacer eco de cadenas no guardadas en HTML para texto fuera de los ayudantes de HTML" Estoy de acuerdo, de esta manera muchos no son conscientes de que esto es realmente malo. – mark